Archive: News

Ein aktueller Gerichtsfall sorgt für Diskussion: Ein Unternehmen wurde Ziel eines Angriffs, bei dem sich Kriminelle über ein zuvor gehacktes E-Mail-Konto Zugriff auf das Rechnungssystem verschafften. Von dort versendeten sie täuschend echte Rechnungen, allerdings mit gefälschten Kontodaten. Die betroffenen Kunden zahlten gutgläubig an die Betrüger. Als das Unternehmen feststellte, dass kein Geld eingegangen war, forderte es die Kunden zur erneuten Überweisung auf, diesmal an das richtige Konto.

Eine Kundin weigerte sich jedoch, ein zweites Mal zu zahlen. Sie argumentierte, sie habe die Rechnung bereits beglichen, wenn auch unwissentlich an die falschen Empfänger. Das Oberlandesgericht Schleswig gab ihr recht: Die Firma habe gegen die DSGVO verstoßen, da sie nicht ausreichend für die Sicherheit ihrer Systeme gesorgt habe und keine sichere Ende-zu-Ende-Verschlüsselung für den Rechnungsversand nutzt. Der Zugriff auf die Kundendaten und die Verfälschung der Rechnungen hätten durch bessere Schutzmaßnahmen verhindert werden können. Die übliche Transportverschlüsselung reiche nicht aus, um die Rechnungen vor Manipulation zu schützen.

Ob der Fall damit endgültig entschieden ist, bleibt offen: Das Urteil ist noch nicht rechtskräftig. Die Revision zum Bundesgerichtshof wurde bereits eingelegt. Es bleibt also abzuwarten, wie das höchste deutsche Zivilgericht diesen Fall beurteilen wird.

Die Entscheidung des OLG hat jedoch bereits bei vielen Unternehmen für spürbare Unsicherheit gesorgt. Viele von ihnen verzichten inzwischen darauf, Rechnungen per E-Mail an Endverbraucher zu verschicken, aus Angst, im Betrugsfall auf ihren Forderungen sitzen zu bleiben

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Versand_manipulierter_Rechnungen.pdf

Die ISO/IEC 27001:2022 gilt als der internationale Standard für Informationssicherheit – und bietet dabei weit mehr als nur technischen Schutz. Für Datenschutzbeauftragte (DSB) ist sie ein wertvoller Kompass: Sie erleichtert die systematische Erfassung von Datenverarbeitungen, unterstützt bei der Erstellung von Datenschutz-Folgenabschätzungen und bietet einen klaren Rahmen für das Risikomanagement. Besonders hilfreich ist die strukturierte Beschreibung von sogenannten „Assets“, also schützenswerten Ressourcen wie IT-Systeme, Datenbanken oder Dokumente. Damit lassen sich sensible Daten gezielter identifizieren, Schutzmaßnahmen besser ableiten und Zugriffsrechte sinnvoll organisieren.

Die ISO 27001 bringt auch einen enormen praktischen Nutzen bei der Zusammenarbeit zwischen Datenschutz- und Informationssicherheitsbeauftragten. Gemeinsame Richtlinien und technische Maßnahmen wie Verschlüsselung, Zugriffskontrolle oder Backup-Strategien schaffen Synergien, die nicht nur die DSGVO-Compliance stärken, sondern auch das Unternehmen insgesamt resilienter machen. Die 93 Controls der ISO-Norm bilden dabei eine solide Grundlage für technische und organisatorische Schutzmaßnahmen, die ideal mit den Anforderungen der DSGVO harmonieren.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/ISO27001_Das_bringt_die_Zertifizierung_fuer_den_DS.pdf

Mit Blick auf die rechtliche Grundlage von Datenverarbeitungen im Arbeitsverhältnis sorgt ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH, C-65/23) für Klarheit – und gleichzeitig für große Unsicherheit. Bisher galten Betriebs- und Dienstvereinbarungen als verlässliche Basis für die Verarbeitung von Beschäftigtendaten. Doch der EuGH hat deutlich gemacht: Auch solche Vereinbarungen müssen alle Grundprinzipien der DSGVO erfüllen. Die Einhaltung von Transparenz, Datenminimierung, Zweckbindung und die Wahrung der Betroffenenrechte sind uneingeschränkt erforderlich.

Zudem betont das Gericht, dass Betriebsparteien bei der Beurteilung der Erforderlichkeit einer Verarbeitung zwar über Fachkenntnis verfügen, aber dennoch keine Ausnahmen oder Lockerungen zulässig sind. Die Kontrolle darüber liegt vollständig bei den Gerichten. Für die Praxis bedeutet das: Bestehende Betriebs- oder Dienstvereinbarungen sollten kritisch überprüft und gegebenenfalls überarbeitet werden. Empfehlenswert ist es, die Regelungen künftig mit einer DSGVO-konformen Rechtsgrundlage wie Art. 6 Abs. 1 Buchst. b oder f zu verknüpfen – insbesondere dann, wenn sensible Daten betroffen sind.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Die_BV_als_Basis_fuer_Datenverarbeitungen.pdf

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf ihrer 109. Sitzung am 26. und 27. März 2025 in Berlin ein klares Signal gesendet: Eine zukunftsfähige Digitalpolitik muss die Grundrechte der Bürgerinnen und Bürger in den Mittelpunkt stellen. In einem aktuellen Eckpunktepapier fordert die DSK die künftige Bundesregierung auf, Digitalisierung und Datenschutz konsequent zusammenzudenken.

Die zentralen Forderungen im Überblick:

• Bundesdatenschutzgesetz und Beschäftigtendatenschutz reformieren
  Die DSK plädiert für eine zentrale Zuständigkeitsregelung bei bundesweiten Sachverhalten sowie für eine Institutionalisierung der DSK. Für den Beschäftigtendatenschutz braucht es klare gesetzliche Regelungen – insbesondere im Umgang mit algorithmischen Systemen und der Leistungsüberwachung am Arbeitsplatz.
• Grundrechtecheck für Sicherheitsgesetze einführen
  Neue Sicherheitsgesetze, etwa im Bereich der Gesichtserkennung oder KI-gestützten Datenanalyse, müssen auf ihre Verfassungskonformität geprüft werden. Die DSK fordert verpflichtende Grundrechteprüfungen – unter Berücksichtigung der Rechtsprechung des Bundesverfassungsgerichts und europäischer Vorgaben.
• EU-Digitalgesetze besser mit der DSGVO abstimmen
  Die Harmonisierung von Rechtsakten wie dem Data Act und der KI-Verordnung mit der DSGVO ist essenziell für Rechtsklarheit und effektiven Grundrechtsschutz.
• Innovationen und KI datenschutzkonform fördern
  Die Bundesregierung soll gesetzliche Rahmenbedingungen für den verantwortungsvollen Einsatz von Künstlicher Intelligenz, Forschung und Innovation schaffen – unter Wahrung der Rechte Betroffener und mit unabhängiger Aufsicht.
• Souveräne Clouds und Datenschutzcockpit ausbauen
  Für eine moderne Verwaltung braucht es digitale Souveränität. Die DSK fordert die Berücksichtigung ihrer Kriterien für Souveräne Clouds sowie den Ausbau des Datenschutzcockpits zur Erhöhung von Transparenz und Kontrolle über Datenverarbeitung.

Weitere Beschlüsse der 109. DSK:

• Die DSK hat die Verfahren gegen OpenAI an die irische Datenschutzaufsicht (DPC) abgegeben. Die im Jahr 2023 erhobenen Erkenntnisse aus dem ChatGPT-Prüfverfahren werden zur weiteren Bearbeitung übergeben.
• Die Zusammenarbeit mit der Bundesnetzagentur im Rahmen des Digital Services Act wird künftig durch eine verschlankte Kommunikationsstruktur unterstützt. 

DSK – Eckpunkte für eine freiheitliche und grundrechtsorientierte digitale Zukunft:
https://www.datenschutzkonferenz-online.de/media/en/Entschliessung_Datenschutzpolitisches_Eckpunktepapier.pdf

Pressemitteilung der Sächsischen Datenschutz- und Transparenzbeauftragten:
https://www.datenschutz.sachsen.de/dsk-forderungen-an-kuenftige-bundesregierung.html

Die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert hat ihren Tätigkeitsbericht für den Zeitraum 1. Januar bis 31. Dezember 2024 veröffentlicht. In diesem wurde wiederholt ein Anstieg der Beschwerden, Datenpannen und Beratungsanfragen im Vergleich zum Vorjahr festgestellt.

• Über 1.000 gemeldete Datenpannen – ein neuer Höchststand.
• Rund 1.260 Beschwerden und 740 schriftliche Beratungsanfragen.
• KI und Datenschutz: Pilotprojekte wie der Schulassistent KAI zeigen, wie datenschutzkonforme Lösungen aussehen können.
• Datenschutzkontrollen bei über 30.000 Websites – viele Verbesserungen, aber auch Nachholbedarf, z. B. beim Einsatz von Google Analytics.
• Klare Kritik an der automatisierten Gesichtserkennung in Strafverfahren – derzeit keine ausreichende gesetzliche Grundlage.

Der Tätigkeitsbericht ist nach Themenbereichen übersichtlich aufgebaut und gibt eine wertvolle Orientierung zum Umgang mit den unterschiedlichsten Datenschutzaspekten in Unternehmen und öffentlichen Einrichtungen. Neben statistischen Auswertungen werden zahlreiche Einzelfälle, Gesetzesinitiativen und Entwicklungen im Bereich Digitalisierung und Datenschutz beleuchtet.

Hier finden Sie den Tätigkeitsbericht für 2024:
https://www.datenschutz.sachsen.de/download/taetigkeitsberichte/Taetigkeitsbericht_Datenschutz_2024.pdf

Hier finden Sie die Pressemitteilung zum Tätigkeitsbericht:
https://www.medienservice.sachsen.de/medien/news/1085765

Werden von Datenschutz-Aufsichtsbehörden Bußgelder oder andere Sanktionen gegen Unternehmen ausgesprochen, soll dies der Durchsetzung der gesetzlichen Vorgaben aus der DSGVO dienen. 

Warum hört man so wenig über deutsche Bußgelder?
Tatsächlich verhängen die deutschen Datenschutzbehörden jedes Jahr zahlreiche Bußgelder – allein in Berlin waren es 2022 ganze 326 Fälle, im Vergleich dazu in ganz Spanien 378. Dennoch bleiben die meisten davon unter dem Radar. Der Grund: In Deutschland gibt es keine Verpflichtung, verhängte Bußgelder zu veröffentlichen. Anders als in Spanien oder Schweden, wo Behörden die Verstöße transparent machen, erscheinen hierzulande nur vereinzelt Informationen in den jährlichen Tätigkeitsberichten der Aufsichtsbehörden oder in Pressemitteilungen.

Europäischer Vergleich: Mehr Transparenz anderswo
Im Gegensatz zu den deutschen Behörden setzen Aufsichtsbehörden in anderen EU-Ländern auf mehr Offenheit, z.B.:

• Spanien veröffentlicht Bußgelder direkt auf der Webseite der Datenschutzbehörde.
• Schweden informiert über Datenschutzverstöße sowohl online als auch in Newslettern.
• Italien nutzt die Veröffentlichung von Bußgeldern sogar als ergänzende Sanktion.

Was bedeutet das für die Praxis?
Die geringe Sichtbarkeit von DSGVO-Verstößen in Deutschland darf jedoch nicht darüber hinwegtäuschen, dass Bußgelder verhängt und Sanktionen ausgesprochen werden, insbesondere für „Wiederholungstäter“.

Um Datenschutz-, Compliance- und monetäre Risiken frühzeitig für Ihr Unternehmen zu erkennen und geeignete Maßnahmen zur Vermeidung zu ergreifen, sollten Ihnen diese bekannt sein. Wenn Sie sich über die Vergabe von DSGVO-Bußgeldern in Deutschland informieren möchten, erhalten Sie Zusammenfassungen in den Tätigkeitsberichten des Datenschutzbeauftragten im jeweiligen Bundesland. Des Weiteren können Sie sich auf europäische Vergleiche stützen.

Eine aktuelle Übersicht über verhängte Strafen finden Sie unter:
https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank/

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben am 10. Dezember 2024 eine praxisnahe Handreichung mit dem Titel „Kommunale IT-Krisen: Handlungsfähigkeit sichern“ veröffentlicht.

Ziel dieses Leitfadens ist es, Städte und Gemeinden gezielt dabei zu unterstützen, sich gegen Cyberangriffe zu wappnen und IT-Notfälle effektiv zu bewältigen.

Auch wenn der Leitfaden primär für die öffentliche Verwaltung konzipiert wurde, sind viele der enthaltenen Prinzipien und Strategien ebenso für Unternehmen von Interesse, die ihre IT-Sicherheit verbessern möchten.

Download der Orientierungshilfe unter:
https://www.bbk.bund.de/SharedDocs/Downloads/DE/Mediathek/Publikationen/KRITIS/wegweiser-kommunale-it-krisen_download.pdf?__blob=publicationFile&v=11

Die Prüfungen und Beschwerden in Bezug auf datenschutzkonforme Einwilligungen bei der Nutzung von Cookies auf Webseiten und Social Media Tools nehmen zu. Die meisten Verstöße gegen die gesetzlichen Vorschriften der Datenschutzgrundverordnung und anderen relevanten Gesetzen sind insbesondere bei Webseiten und Social Media Auftritten (wie z.B. Instagram, Meta, LinkedIn) mit:

• fehlenden bzw. fehlerhaften Einwilligungen für Marketing-Cookies
• unzureichend transparenten Informationen zur Datenverarbeitung
• unvollständigen oder veralteten Datenschutzerklärungen und Impressum

Um möglichen Beanstandungen, Beschwerden und Bußgeldern vorzubeugen, empfehlen wir Ihnen, folgende Punkte zu überprüfen und ggf. anzupassen:

Einwilligungen für Dienste und Cookies:

• Stellen Sie sicher, dass alle einwilligungspflichtigen Dienste (z.B. Tracking- und Analyse-Tools) sowie Cookies über ein rechtskonformes Consent-Management-System eingebunden sind.
• Die Einwilligung muss freiwillig, informiert und nachweisbar erfolgen. Eine rein implizite Zustimmung reicht nicht aus.

Transparenz der Datenverarbeitung:

• Dokumentieren Sie klar, welche personenbezogenen Daten auf Ihrer Webseite verarbeitet werden und zu welchen Zwecken.
• Diese Informationen müssen leicht zugänglich und verständlich in Ihrer Datenschutzerklärung dargestellt sein.

Aktualität der Datenschutzerklärung:

• Überprüfen Sie regelmäßig, ob Ihre Datenschutzerklärung auf dem neuesten Stand ist.
• Berücksichtigen Sie Änderungen in Ihrem Webauftritt, in der verwendeten Technik (z.B. neue Tools, Cookies) und rechtliche Neuerungen.

Microsoft revolutioniert das digitale Arbeiten mit Copilot, einer leistungsfähigen KI-Lösung, die auf natürlicher Sprache basiert und jetzt in Microsoft 365 sowie Windows 11 integriert ist. Was bietet Copilot wirklich? Vom Erstellen komplexer Dokumente bis hin zur Verwaltung umfangreicher Daten: Die KI eröffnet neue Möglichkeiten für Unternehmen und Benutzer.

Doch wie sieht es mit dem Datenschutz aus? Microsoft Graph fungiert als zentraler Datenknoten, der Daten effizient verarbeitet, aber auch datenschutzrechtliche Fragen aufwirft. Eine wesentliche Rolle spielt hier auch das Datenschutz-Tool „Purview“, das Kontrolle über den Umgang mit KI-gestützten Diensten wie Copilot bieten soll. Die umfassende Nutzung dieser KI-Plattform birgt neben Produktivitätspotenzial auch Herausforderungen, die einen genaueren Blick wert sind.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Microsoft_Copilot_aus_Sicht_des_Datenschutzes.pdf

Seit August führt Microsoft mit dem Update auf Windows 11 24H2 das neue Outlook ein – eine Plattform, die Anwendungen wie Windows Mail und den Kalender ersetzen soll. Diese Umstellung birgt erhebliche datenschutzrechtliche Herausforderungen, da alle E-Mails und Anmeldedaten über Microsoft-Server laufen. Dies gilt auch für Nutzer, deren Postfach bisher nicht bei Microsoft gehostet war, was neue Pflichten nach sich zieht.

Wichtige Datenschutz-Aspekte Besonders relevant für Unternehmen und Datenschutzverantwortliche: Viele zentrale Datenschutzfunktionen wie das Trust Center fehlen in der neuen Version. Zudem unterstützt das neue Outlook aktuell nur Exchange Online – ein potenzielles Problem für Nutzer, die lokale Exchange-Postfächer betreiben. Auch die Einbindung von speziellen Erweiterungen oder Sicherheitslösungen muss getestet werden, um die Kompatibilität sicherzustellen.

Handlungsbedarf für Unternehmen Das klassische Outlook bleibt voraussichtlich bis 2029 verfügbar, aber Unternehmen sollten sich frühzeitig Gedanken machen, ob und wie sie den Wechsel auf das neue Outlook angehen – insbesondere, um Datenschutzfragen im Voraus zu klären. IT- und Datenschutzabteilungen stehen vor der Aufgabe, diese Umstellung sicher zu begleiten und gegebenenfalls Maßnahmen wie das Blockieren des neuen Outlooks zu prüfen.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Datenschutz_mit_der_neuen_Version_von_MS_Outlook.pdf